adimas - Fotolia

Peter Tran, RSA : le qui des attaques compte moins que le comment et le pourquoi

Le directeur général de RSA relativise la valeur de l’attribution en matière de cybersécurité. Pour lui, le pourquoi et le comment sont plus importants que le qui.

Attribuer des opérations informatiques offensives s’avère de plus en plus difficile. Et les tentatives des uns et des autres en la matière sont souvent plus polémiques que conclusifs. Peter Tran, directeur général de RSA, s’est entretenu avec SearchSecurity.com (groupe TechTarget), lors de la toute dernière édition de RSA Conference, pour évoquer la valeur réelle de l’attribution pour les stratégies de cyberdéfeense.

Quelle est la valeur de l’attribution pour les entreprises ?

Peter Tran : L’attribution ne compte vraiment que lorsqu’elle constitue une donnée pouvant être utilisée pour mieux protéger les réseaux par anticipation. Dès lors, pour moi, attribuer compte moins que de savoir quelles techniques, tactiques et procédures sont utilisées. Ou si les attaquants retournent nos défenses contre nous.

Nous pouvons penser qu’il est rusé d’utiliser l’apprentissage automatique pour se protéger. Mais les attaquants vont certainement l’utiliser aussi, de même que l’analytique de données. Les contre-mesures n’ont rien de nouveau, comme être capable de détecter la présence d’une machine virtuelle.

Pour moi, ce qui compte, c’est le comment, l’intention et le pourquoi. On peut consacrer beaucoup de temps à l’attribution. Mais elle n’a d’importance que si l’on peut effectivement en retirer des informations de valeur pour la prise de décisions.

Avec Mirai, par exemple, une fois son code source dans la nature, ce qui m’a intéressé, c’était de savoir qui allait l’utiliser pour prendre le contrôle de milliards d’appareils connectés, au lieu des 300 000 qui ont fait tomber DynDNS à l’automne dernier.

Mon approche de cette question est : on peut utiliser l’apprentissage automatique, toute la technologie que l’on veut, et rendre l’exercice d’attribution asymptotique. On peut donc se rapprocher fortement, connaître l’auteur de quelque chose, sans que cela veuille dire que l’on peut le lui attribuer.

Pourtant, l’attribution à un état-nation ou la découverte de la localisation géographique des attaquants semble mobiliser beaucoup d’attentiuon…

Le paysage géopolitique change, l’environnement économique évolue, et les acteurs malveillants gèrent de plus en plus leurs activités comme une entreprise. Ils sont plus rigoureux et utilisent des technologies différentes. Et pourtant, nous continuons de nous demander « oh, je voudrais bien savoir qui c’est… ». Mais c’est une erreur.

Ce qui compte, c’est de savoir s’ils utilisent les mêmes technologies [que nous en défense], et comment. Savoir s’ils vont surpasser mes technologies et mes capacités de détection.

Par exemple, on pourrait surveiller les requêtes sur les bases de données de l’office américain des brevets pour regarder quels types de technologies font l’objet de recherches, et sur quels fuseaux horaires. Cela peut avoir une vraie signification, surtout lorsque l’on observe après une vague de logiciels malveillants utilisant une vulnérabilité inédite affectant un produit de sécurité utilisant les méthodes décrites dans l’un des brevets ayant été examinés.

Cela implique d’étudier des jeux de données particulièrement étendus…

Oui. Honnêtement, ça ne m’excite pas beaucoup de voir un rapport sur les indicateurs de compromission d’un type de logiciel malveillant spécifique. Ou quand quelqu’un y ajoute un nom de code comme Fancy Bear, Cozy Bear, et pourquoi pas Teddy Bear, peu importe.

Ce qui se passe, c’est que l’on commence à rassembler les indicateurs d’activités malicieuses en groupes. Mais cela revient à procéder par isolation, sans tenir compte de l’évolution de l’ADN fonctionnel du logiciel malveillant. Alors qu’il s’agit d’une communauté de sous-traitances croisées qui est à l’œuvre.

Un auteur peut gagner jusqu’à 1 M$ par an en se contentant de produire du code et de le vendre en ligne. Si j’étais dans son cas, j’aurais tout un réseau d’approvisionnement d’auteurs. Dès lors, je dirais « ça n’a pas d’importance s’ils essaient de procéder à une attribution à partir du logiciel malveillant, parce que j’ai 25 auteurs différents ». Qui ne sont même pas étroitement liés à un même groupe.

Et puis tiens, puisque vous parlez de Cozy Bear, je vais acheter un bout de code à Cozy Bear. Mais je ne suis pas Cozy Bear, je suis quelqu’un d’autre.

Alors sérieusement, le « qui » compte vraiment dans une perspective de risque métier ou de sécurité ? Franchement, je m’intéresse plus au comment et au pourquoi, parce que c’est ça qui va m’affecter.

Et l’attribution permet-elle d’envisager une quelconque forme de dissuasion ?

Non. Quand a-t-on procédé à une arrestation à une arrestation dans une affaire impliquant un état-nation ? Nous ne l’avons pas fait. Parce que cela apporte quoi, en pratique, sinon un gros titre ? Est-ce que cela améliore réellement notre posture défensive, du secteur public au secteur privé ? Pas nécessairement.

[…] J’ai déjà entendu des RSSI dire : « arrêtez, je ne veux pas entendre parler du qui. Cela n’a aucun intérêt pour mes résultats ». Mais la plupart ne sont pas préparés pour évoquer autre chose ; ils veulent seulement dérouler leurs présentations alarmistes : « Oh ! C’est la Corée du Nord. Ils viennent de procéder à un nouveau tir d’essai de truc cyber ». Et alors ?

Nos clients ne réussissent vraiment qu’en étant capables de retirer les bons bénéfices métiers de la sécurité. C’est une leçon apprise dans la douleur. 

Pour approfondir sur Cyberdélinquance

Close